21/01/2013 - ARESU
Transcription
21/01/2013 - ARESU
Avis sécurité du 21/01/2013 L’actualité CNRS Microsoft a publié lundi 14 janvier 2013, hors cycle normal, un correctif urgent de sécurité qui corrige la faille 0-day qui est largement exploitée et qui a fait l’objet d’une alerte du CERTA. Il convient d’appliquer très rapidement la mise à jour, si ce n’est déjà fait. Oracle a publié dimanche 13 janvier 2013, hors cycle normal, un correctif urgent de sécurité qui corrige la faille 0-day qui est largement exploitée et qui a fait l’objet d’une alerte du CERTA. Il convient d’appliquer très rapidement la mise à jour, si ce n’est déjà fait. Des gens prétendent avoir un autre 0-day pour la version de Java qui vient d’être corrigée et le vendent pour $5000. Evidemment si nous ignorons la réalité de cet exploit, il reste que ces derniers temps plusieurs 0-day Java ont été découverts et intensément exploités. Une mesure de précaution peut être de, sans désinstaller Java, le désactiver dans le navigateur. L’expérience montre que Java est rarement nécessaire pour naviguer sur Internet. Lorsque c’est nécessaire et que l’on est sûr du site qui le demande l’activation de Java est simple. Voici les instructions extraites de l’avis du CERT US : Disable Java in web browsers This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered. To defend against this and future Java vulnerabilities, disable Java in web browsers. Starting with Java 7 Update 10, it is possible to disable Java content in web browsers through the Java control panel applet. From Setting the Security Level of the Java Client: For installations where the highest level of security is required, it is possible to entirely prevent any Java apps (signed or unsigned) from running in a browser by de-selecting Enable Java content in the browser in the Java Control Panel under the Security tab. If you are unable to update to Java 7 Update 10 please see the solution section of Vulnerability Note VU#636312 for instructions on how to disable Java on a per browser basis. References Vulnerability Note VU#625617 <http://www.kb.cert.org/vuls/id/625617> Setting the Security Level of the Java Client <http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html> The Security Manager <http://docs.oracle.com/javase/tutorial/essential/environment/security.html> How to disable the Java web plug-in in Safari <https://support.apple.com/kb/HT5241> How to turn off Java applets <https://support.mozilla.org/enUS/kb/How%20to%20turn%20off%20Java%20applets> NoScript <http://noscript.net/> Securing Your Web Browser <https://www.uscert.gov/reading_room/securing_browser/#Safari> Vulnerability Note VU#636312 <http://www.kb.cert.org/vuls/id/636312#solution> Indépendamment de la correction hors cycle de la faille Java, Oracle a publié son lot trimestriel de correctifs critiques concernant l’ensemble de ses produits. On ne peut que recommander d’appliquer les consignes d’Oracle : « Oracle continues to recommend that, even though other mitigation measures may be available, Critical Patch Updates be applied as soon as possible in order for organizations to retain their security in depth posture. » En ce qui concerne le lancement très médiatique du site Mega, de nombreuses vulnérabilités ont déjà été découvertes. L’insécurité du site est à la hauteur de la mégalomanie de Kim Dotcom. Nous mis à jour des documents et en ajouté d’autres concernant le chiffrement. Ils sont disponibles sur la page recommandations du site web SSI. VADE-MECUM Protection contre le vol de matériel informatique (mise à jour du 17 janvier 2013) FAQ organisation déploiement (mise à jour du 16 janvier 2012) Gestion du chiffrement sur un parc OSX ≥ 10.7 avec FileVault 2 (mise à jour du 18 janvier 2012) La revue hebdomadaire de l’actualité est aussi disponible en ligne. CERTA CERTA-2013-ACT-003 Bulletin d'actualité numéro 08 de l'année 2013 (18 janvier 2013) CERT Renater STAT03 Bulletin d’actualité n° 03 de l’année 2013 (18 janvier 2013) Les derniers avis CERTA CERTA-2013-AVI-048 janvier 2013) CERTA-2013-AVI-047 Multiples vulnérabilités dans le système SCADA Rockwell Automation Controllogix (17 janvier 2013) CERTA-2013-AVI-046 Multiples vulnérabilités dans Drupal (17 janvier 2013) CERTA-2013-AVI-045 Multiples vulnérabilités dans Xen (17 janvier 2013) CERTA-2013-AVI-044 2013) Vulnérabilité dans Cisco ASA 1000V Cloud Firewall H.323 (17 janvier CERTA-2013-AVI-043 Vulnérabilité dans IBM Cognos TM1 (16 janvier 2013) CERTA-2013-AVI-042 2013) Vulnérabilité dans Oracle Supply Chain Products Suite (16 janvier CERTA-2013-AVI-041 2013) Multiples vulnérabilités dans Oracle Fusion Middleware (16 janvier Vulnérabilité dans le système SCADA Schneider Electric SESU (18 CERTA-2013-AVI-040 Multiples vulnérabilités dans Oracle Enterprise Manager Grid Control (16 janvier 2013) CERTA-2013-AVI-039 janvier 2013) Multiples vulnérabilités dans Oracle Database Mobile/Lite Server (16 CERTA-2013-AVI-038 2013) Multiples vulnérabilités dans Oracle PeopleSoft Products (16 janvier CERTA-2013-AVI-037 2013) Multiples vulnérabilités dans Oracle E-Business Suite (16 janvier CERTA-2013-AVI-036 Vulnérabilité dans Oracle Database Server (16 janvier 2013) CERTA-2013-AVI-035 Multiples vulnérabilités dans Oracle Siebel CRM (16 janvier 2013) CERTA-2013-AVI-034 Multiples vulnérabilités dans Oracle MySQL (16 janvier 2013) CERTA-2013-AVI-033 Vulnérabilité dans Oracle Virtualization (16 janvier 2013) CERTA-2013-AVI-032 Vulnérabilité dans Oracle JD Edwards (16 janvier 2013) CERTA-2013-AVI-031 2013) Multiples vulnérabilités dans Oracle Sun Products Suite (16 janvier CERTA-2013-AVI-030 Vulnérabilité dans Samba (16 janvier 2013) CERTA-2013-AVI-029 Multiples vulnérabilités dans Adobe ColdFusion (16 janvier 2013) CERTA-2013-AVI-028 janvier 2013) Multiples vulnérabilités dans Avaya Call Management System (15 CERTA-2013-AVI-027 Vulnérabilité dans IBM TS3310 Tape Library (15 janvier 2013) CERTA-2013-AVI-026 (15 janvier 2013) Vulnérabilité dans le système SCADA Siemens Simatic RF Manager CERTA-2013-AVI-025 Vulnérabilité dans Citrix CloudPlatform (14 janvier 2013) CERT Renater 16 Jan 2013 VULN030 Samba : A Samba AD DC may provide authenticated users with write access to LDAP directory objectsSystems running Samba version 4.0.0. 16 Jan 2013 VULN029 Oracle : January 2013 Critical Patch Update ReleasedSystems running Oracle Database, Oracle Database Mobile Server,Oracle Enterprise Manager Grid Control, Oracle Fusion Middleware, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Enterprise, Oracle JDEdwards Enterprise One, Oracle Siebel CRM, Oracle Sun Products Suite, Oracle Virtualization, Oracle MySQL. 16 Jan 2013 VULN028 Microsoft : Critical Security Update for Internet ExplorerSystems running Microsoft Internet Explorer versions 6, 7, 8.